Konsta Toivonen - Haaga-Helia ammattikorkeakoulu

Etusivulle

Takaisin

Tehtävien toimeksianto: http://terokarvinen.com/2017/aikataulu-%E2%80%93-linux-palvelimet-ict4tn021-7-ti-ja-6-to-alkukevat-2018-5-op

Tehtävissä käytetyt laitteet:
HP ProBook 655 G2: Xubuntu 16.04 LTS
Digital Ocean -palvelun ylläpitämä virtuaalipalvelin: 1 GB Memory / 25 GB Disk / AMS3 - Ubuntu 16.04.3 x64


H5

a) Asenna SSH-demoni.

Asensin SSH-demonin komennolla "sudo apt-get install ssh"

b) Suojaa kone tulimuurilla, mutta tee ensin reikä SSH:lle

Tein tulimuurin asetukseen reiän SSH:lle komennolla "sudo ufw allow 22/tcp"
Käynnistin tulimuurin komennolla "sudo ufw enable".

ufw

c) Siirrä tiedostoja ssh:lla.

Kopioin tiedoston H5.html virtuaalipalvelimelleni komennolla "scp /home/konsta/Downloads/public_html/H5.html konsta@konstatoivonen.com:/home/konsta/public_html/"

scp

d) Automatisoi kirjatuminen julkisen avaimen menetelmällä.

Automatisoidakseni kirjautumisen palvelimelleni loin tietokoneelleni salausavaimen komennolla "ssh-keygen"(1) ja käytin avaimenluontiprosessissa automaattisia asetuksia painamalla enter jokaiseen kysymykseen.
ssh-keygen

Seuraavaksi kopioin avainparin julkisen osan palvelimelleni komennolla "ssh-copy-id konsta@konstatoivonen.com" ja syötin palvelimen käyttäjän salasanan sitä pyydettäessä.
ssh-copy
Tämän jälkeen kykenin ottamaan palvelimeeni SSH-yhteyden syöttämättä salasanaa erikseen.


j) Asenna ja konfiguroi ja käynnistä sysstat-paketti. Tarkista sar-komennolla, että se on päällä, esim. näyttää lokimerkinnän “Linux reboot…”. Anna sysstatin pyöriä päivä tai pari. Tutki kuormitushistoriaa sysstatin komennoilla sar, iostat, pidstat… Analysoi tulokset, eli selitä perusteellisesti mitä tulokset tarkoittavat.

Asensin sysstat-paketin komennolla "sudo apt-get install sysstat"
Mahdollistin sysstatin tietojenkeräämisen muokkaamalla tiedostoa /etc/default/sysstat/(2)
enable-sysstat

Käynnistin sysstatin uudelleen komennolla "sudo systemctl restart sysstat"
Kokeilin sysstatin toimivan komennolla "sar -A" jolloin se näytti prosessorin kuormitusta keskiyöstä silloiseen hetkeen.
sar

Annoin sysstatin olla käynnissä vuorokauden palvelimellani. Tulostin sen tämän vuorokauden lokin komennolla "sar"
Alla sen 15 viimeistä riviä.
sar2
Komennon sar syöte:(3)
Kellonaika (ajassa GMT)
CPU: käytössä olevien prosessorin ytimien määrä. All tarkoittaa kaikkien ytimien (1) olevan käytössä.
%user: osuus prosessorin käyttämästä laskenta-ajasta käyttäjätasolla.
%nice: osuus prosessorin käyttämästä laskenta-ajasta "nice"-prioriteetilla.
%system: osuus prosessorin käyttämästä laskenta-ajasta järjestelmän tehtäviin.
%iowait: aika jonka prosessori oli odotustilassa levyn kirjoittaessa tai lukiessa.
%steal: osuus ajasta jossa prosessori joutui odottamaan toisen virtuaaliprosessorin toimia?
%idle: prosessorin odotustilan prosenttiosuus kokonaisajasta.
Average: keskiarvot luvuista.


i) Ratkaise Scan of the Month 15. Katso vinkkejä Forensic File Recovery with Linux – Undelete. Älä katso malliratkaisua netistä, ellet ole jumissa, ja merkitse raporttiisi, jos katsoit. Kuva sisältää oikeaa haittakoodia, älä käsittele sitä arvokkailla tietokoneilla tai työnantajan tuotantoverkossa, äläkä aja siltä löytyviä ohjelmia. Kaikki vastaukset löytyvät kuvasta, tässä tehtävässä ei tutkita mitään muita järjestelmiä.

1. Show step by step how you identify and recover the deleted rootkit from the / partition.

Latasin honeynet.tar.gz -tiedoston ja purin sen komennolla "tar -xf honeynet.tar.gz"
tar

Loin kansiot "allocated" ja "deleted" komennolla "mkdir allocated deleted"
Latasin levykuvalta datan keräämiseen tarvittavan työkalun komennolla "sudo apt-get install sleuthkit"
Hain honeypot.hda8.dd -levykuvasta olemassa olevat tiedostot komennolla "tsk_recover -a honeypot.hda8.dd allocated/"
ja kuvasta poistetut tiedostot komennolla "tsk_recover honeypot.hda8.dd deleted/"
tsk-recover
Tekemääni "deleted"-kansioon oli tullut kaksi kansiota ja yksi .tgz-loppuinen pakattu kansio lk.tgz.
Purin lk.tgz:n komennolla "tar -xf lk.tgz" ja sain kansion "last"

tar-lk
Selasin kansiota "last" jossa oli monta suoritettavaa tiedostoa.
last
Tiedostot install, logclear ja linsniffer etenkin kiinnittivät huomiota.

Tarkastelin tiedostoa "install" komennolla "less install"
install

"Install" oli bash-tiedosto joka poisti tietokoneen kansioita ja kopioi omia vastaavia tilalle
rm-cp

kopioi verkon vakoiluohjelman "linsniffer"
lokien puhdistusohjelman "logclear"
ja ssh-avaimia ja poisti ne omasta lähtöpaikastaan levyllä.
copy

Siirsi "last.cgi"-scriptin palvelimen asetuksiin, mikäli sellainen löytyy.
scgi

Lopuksi poisti koko last kansion ja pakatun tiedoston josta itse tuli.
rm-last

2. What files make up the deleted rootkit?
Poistetuista tiedostoista löytynyt "lk.tgz"-tiedosto sisälsi siis "last"-kansion, joka sisälsi kaikki kyseisen rootkitin asennukseen liittyvät tiedostot:
cleaner
ifconfig
inetd.conf
install
last.cgi
linsniffer
logclear
lsattr
mkxfs
netstat
pidfile
ps
s
sense
services
sl2
ssh
ssh-config
sshd-config
ssh_host_key
ssh_host_key.pub
ssh_random_seed
top



Lähteet:

https://www.ssh.com/ssh/keygen/(1)
https://github.com/sysstat/sysstat/blob/master/README.md(2)
https://www.liquidweb.com/kb/server-resource-analysis-with-sar/(3)
https://askubuntu.com/questions/17299/what-do-the-different-colors-mean-in-ls